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Einrichtung und Verfahren zur Beurteilung und E rzieluncr von 
Sicherheit bei Systemen sowie entsprechendes Computer-pro- 
aramm . . , 

Stand der Technik 

Die Erf indung betrifft eine Einrichtung und ein Verfahren 
zur Beurteilung der Sicherheit von Systemen, insbesondere im 
Kraftfahrzeug, in einer fruhen Phase der Produktentwicklung 
sowie ein entsprechendes Computerprogram bzw. Computerpro- 
grammprodukt gemaft der Oberbegriffe der unabhangigen Anspru- 
che. Das Verfahren gemaii dem Oberbegriff des unabhangigen 
Anspruches entsprechender Kategorie wird CARTRONIC® basierte 
Sicherheitsanalyse (CSA) genannt und entsprechend von der 
Einrichtung bzw. bei Ausfuhrung des Computerprogrammes 
durchgef iihrt . 

Die Herausf orderung nicht nur der Automobilindustrie ist es, 
steigende Anf orderungen an Sicherheit und Zuverlassigkeit 
bei gleichzeitig verkurzten Produktentwicklungszyklen zu er- 
fu.ll en. Diese Randbedi'ngungen machen es notwendig Sicher- 
heitsbetrachtungen ber'eits sehr fruh wahrend der Produktent-- 
wicklung zu berucksichtigen . Eine kurze Zeitspanne vom Be- 
ginn der Planung bis zur Markteinfuhrung stellt einen ent- 
scheideiiden Wettbewerbsvorteil dar, urn ein Produkt vor den „ 
Mitbewerbern am Markt zu etablieren. Die Berucksichtigung 
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einer Sicherheitsanalyse in einer friihen Phase der Produk- 
tentwicklung soil langwierige Iterationen zum Testen.und 
Verbessern cies Produkts in einer f ortgeschrittenen Phase der 
Produktentwicklung reduzieren und im Idealfall vermeiden. In 
einer friihen Entwicklungsphase ist die Betrachtungsweise ei- 
nes Systems abstrakt, d.h. es ist bekannt welche Funktionen 
das System erfullen soil und wie diese Funktionen interagie- 
ren. Es ist jedoch noch nicht festgelegt, wie diese Funktio- 
nen realisiert werden (z.B. Hardware, Software, Mechanik) . 
Diese abstrakte Sichtweise kann durch das automobilherstel- 
ler- und zulief ererneutrale Strukturierungskonzept CARTRO- 
NI C° dargestellt werden. Dieses Strukturierungskonzept bil- 
det die Grundlage fur die CARTRONI C° basierte Sicherheits- 
analyse. 

Die zunehmende Komplexitat insbesondere des Systems Kraft - 
fahrzeug liegt einerseits in der zunehmenden Komplexitat und 
Anzahl der einzelnen Subsysteme, wird aber auch maEgeblich. 
gepragt durch deren steigende Vernetzung. Die Beherrschbar- 
keit der Komplexitat des Systems Kraf tf ahrzeug wird erreicht 
durch die Strukturierung der Subsysteme nach CARTRONI C 10 un- 
ter Beriicksichtigung der Interaktionen mit anderen Subsyste- 
men. 

Das CARTRONI C° Strukturierungskonzept (siehe Bertram, T. ; 
Bitzer, R. ; Mayer, R.; Volkhart, A.; 1998, CARTRONI C - An 
open architecture for networking the control systems of an 
automobile, Detroit/Michigan USA, SAE 98200) basiert auf ei- 
nem objektorientierten Ansatz. -Das System Kraf tf ahrzeug wird 
±n" logische Funktionseinheiten strukturiert , die uber stan- 
dardisierte Schnittstellen miteinander kommunizieren. 

OARTRONIC 0 ist ein Strukturierungskonzept fur alle Steue- 
□rungs-j und Regelungssysteme eines Fahrzeugs. Das Konzept 
enthalt modulare erweiterbare Architekturen fur „Funktion" 
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und „Sicherheit w auf der Basis vereiiibarter formaler Struk- 
turierungs- und Modellierungsregeln. 

Unter einer Architektur ist hier sowohl die Strukturierungssy- 
stematik (Regeln) zu verstehen als auch deren Umsetzung in eine 
konkrete Struktur. Die Funktionsarchitektur umfasst samtlicrie im 
Fahrzeug vorkommenden Steuerungs- und Regelungsauf gaben . Die 
Aufgaben des Systemverbunds werden sog. funktionalen Komponerxten 
zugeordnet, die Schnittstellen der Komponenten (funktionale 
Schnittstellen) und ihr Zusammenwirken werden festgelegt. Die 
Sicherheitsarcbitektur erweitert die Funktionsarchitektur urn 
Elemente, die einen sicheren Betrieb des Systemverbunds garan- 
tieren. 

Eine weitere Darstellungsf orm ergibt sich durch Abblidung in XJML 
(Unified Modelling Language) , was auSerdem eine Portierung aiaf 
ein Computersystem erleichtert. pie Abbildung einer CARTRONIC*- 
Funktionsstruktur in ein UML-Modell ist beschrieben in (Torre 
Flores, P.; Lapp, A.; Hermsen, W.; Schirmer, J. ; Walther, M. ; 
Bertram, T .; -Petersen, J.; 2001, Integration of a structuring 
concept for vehicle control systems into the software develop- 
ment process using UML modeling methods, Detroit /Michigan USA, 
SAE 2001-01-0066) . 

Das Grundgerust fur die Strukturierung bildet die funktionale 
Komponente. Ei'ne funktionale Komponente reprasentiert eine Func- 
tion im System Kraf tf ahrzeug . Zu Gunsten- einer konvpakten Dar- 
stellung wird im folgenden anstelle des Begriffs funktionale 
Komponente lediglich der Begriff Komponente verwendet. Die Kom- 
ponenten konnen im Laufe der Entwicklung verfeinert ( detail - 
liert) werden, wobei die ubergeordnete Funktion als Hiille erha.1- 
ten bleibt. Die ubergeordnete Funktion wird innerhalb der Ver- 
feinerung (Detaillierung) wiederum aus Komponenten zusammenge- 
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setzt, die einzelne Teile der ubergeordneten Funktion reprasen- 
tieren. Bei dem Strukturierungskonzept werden drei verschiedene" 
Typen von Komponenten unterschieden: 

□ Komponenten .mit iiberwiegend koordinierenden und verteilenden 
Aufgaben, 

□ Komponenten mit hauptsachlich operativen und ausfuhrenden 
Aufgaben und 

□ Komponenten, die ausschlieSlich Inf ormationen generieren und 
bereitstellen. 

Bei den Kommunikationsbeziehungen wird zwischen einem Auf trag 
(mit Riickmeldung) , einer Abfrage (mit Hinweis) und einer Anfor- 
derung unterschieden. Den Auftrag kennzeichnet die Pflichfc zur 
Ausfiihrung; fur den Fall der Nichterfiillung muss der Auftragneh- 
rner eine Ruckmeldung an den Auftraggeber absetzen, die den Grund 
fur die Nicht ausfiihrung beschreibt. Die Abfrage dient der Be- 
schaffung von Inf ormationen fur eine Auf tragsausfiihrung . Fur den 
Fall, dass eine Komponente die abgefragte Information nicht be- 
reitstellen kann, gibt sie einen Hinweis an die fragende Kompo- 
nente. Eine Anforderung beschreibt einen „minsch*, dass eine 
Funktion von einer anderen Komponente ausgefuhrt wird. An die 
Anforderung ist allerdings nicht die Pflicht zur Erfullung ge- 
koppelt, was beispielsweise bei konkurrierenden Anf orderungen 
•Beriicksichtigung findet. Tabelle 1 stellt die Strukturelemente 
zusammenf as send dar. 



Tabelle 1 



S TRUKTURE LEMENT 


KURZBESCHREIBUNG 


Funktionale 
Komponente 
{ kur z : Komponent e ) 


Funktionseinheit mit klar def inierter - 
Auf gabe 


System 


Ein System besteht aus mehreren funktio- 
nalen Komponenten bzw. (Sub-) Systemen. 
(„Sicht von innen nach auEen") . 
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Die detaillierte funktionale Komponente 
leitet die Kommunikationsbeziehnngen an die 
Teilkomponenten weiter, wie dies eine „ist 
Teil von"-Beziehung ausdriickt . („Sicht von 
auiSen nach innen) 


Auftrag (mit Ruck- 
-meldung) 


Handlungs.anweisung an eine funktionale 
Komponente mit der Pf licht zur Ausfiih- " 
rung. 


Abfrage (mit Hin- 
■weis) 


Informationsabfrage an eine fianktionale 
Komponente . 


Anforderung 


Anforderung an eine funktionale Komponen- 
te ohne Ausfuhrungsverpf lichtung 


Regeln 


Regeln zu: 

□ Kommunikationsbeziehungen 

□ Mode Hi erungsmus t em 



Die Strukturierungsregeln beschreiben erlaubte Kommunikationsbe- 
ziehungen innerhalb der Architektur des Gesamtf ahrzeugs . Es wer- 
den Strukturierungsregeln unterschieden, welche die Kommunikati- 
onsbeziehungen auf der gleichen Abstraktionsebene und in hohere 
und tiefere Ebenen unter Beriicksichtigung angegebener Randbedin- 
gungen festlegen. Ferner klaren die Strukturierungsregeln die 
Weiterleitung von Kommunikationsbeziehungen hinein in die De- 
taillierung einer anderen Funktionalitat . 

Eine nach den Strukturierungs- und Modellierungsregeln entwik- 
kelte Struktur zeichnet sich durch folgende Merkmale aus : 

□ vereinbarte, einheitliche Strukturierungs- und Model 1 ierungs- 
regeln auf alien Abstraktionsebenen, 

□ hierarchische Auf tragsf liisse, 

□ hohe Eigenverantwortung der einzelnen Komponenten, 

□ Bedienelemente, Sensoren und Schatzer sind gleichwertige In- 
f ormationscjeber und eine 
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□ Kapselung, die jede Komponente fur die ubrigen Komponenten so 
sichtbar wie notig und so unsichtbar' wie moglich darstellt. 

Es stellt sich somit die Aufgabe ein Verfahren und eine Einrich- 
tung sowie ein entsprechendes Compute rprogramra und Comput erpr o - 
graramprodukt zu generieren, welches, eine verbesserte Sicher- 
heitsanalyse und Erzeugung einer verbesserten Sicherheitsstruk- 
tur wenigstens eines Systems, insbesondere in einem Kraftfahr- 
zeug ermoglicht . 

Vorteile der Erf indung 

Die Erf indung betrifft eine Einrichtung, insbesondere ein Compu- 
tersystem, und ein Comput erprogramm oder Comput erprogrammpro- 
dukt, sowie ein Verfahren zur Durchfuhrung einer Sicherheitsana- 
lyse bei Systemen, insbesondere in einem Kraf tf ahrzeug, wobei 
die Systeme oder das wenigstens eine System aus mehreren Kompo- 
nenten bestehen, zwischen denen Kommunikationsbeziehungen beste- 
hen, wobei die Komponenten und deren Kommunikationsbeziehungen 
eine Funktionsstruktur der Systeme oder des. wenigstens eine Sy- 
stems bilden, wobei vorteilhaf ter Weise Fehler in Abhangigkeit 
von: der Funktionsstruktur ermittelt werden und diese Fehlerab- 
hangigkeiten beziiglich der Funktionsstruktur ausgewertet werden. 

In einer Aus fuhrungs form zeigt die Erfindung eine Einrichtung, 
insbesondere ein Computersystem, und ein Comput erprogramm oder 
Comput erpr ogrammprodukt sowie ein Verfahren zur Erzielung • einer 
vorgebbaren Sicherheitsstuf e bei Systemen, insbesondere in einem 
Kraf tf ahrzeug, wobei die Systeme- oder wenigstens ein System aus 
mehreren Komponenten bestehen, zwischen denen Kommunikationsbe- 
ziehungen bestehen, wobei die Komponenten und deren Kommunikati- 
onsbeziehungen eine Funktionsstruktur der Systeme bilden, wobei 
Fehler in Abhangigkeit von der Funktionsstruktur ermittelt wer- 
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den und diese Fehlerabhangigkeiten bezuglich der Funktionsstruk- 
tur ausgewertet werden mit folgeriden Schritten: 

a) Verfolgung der Fehlerabhangigkeiten in der Funktionsstruktur 
und Generation von Fehlerpfaden sowie Ermittlung von globalen 
Auswirkungen der Fehler, 

b) Bewertung der globalen Auswirkungen in Abhangigkeit vorgebba- 
rer Sicherheitsstuf en, 

c) Ermittlung von Fehlern, welche ein Fehlverhalten einer Kompo- 
nente oder einer Kommunikationsbeziehung bewirken, 

d) Zuordnung des Fehlverhaltens einer Komponente oder einer Kom- 
munikationsbeziehung zu den globalen Auswirkungen 

e) Ermittlung von Mafinahmen zur Fehler erkennung und/oder Fehler- 
beherrs chung , 

f ) Ermittlung der erzielbaren Sicherheitsstuf e und Vergleich der 
ermittelten Sicherheitsstuf e mit der zu erzielenden Sicherheits- 
stuf e. und 

g) in Abhangigkeit von dem Vergleich erneuter Verf ahrensstiart 
bei a), bis die zu erzielende Sicherheitsstuf e erzielt isfc. 

Vorteilhaf ter Weise erfolgt damit die Durchfuhrung einer Sicher- 
heitsanalyse in einer friihen Phase der Produktentwicklung, urn 
Problembereiche rechtzeitig zu erkennen und die fruhzeitige In- 
tegration von SicherheitsmaSnahmen in die Funktipnsstruktur 
(„ safety through design") . 

Die erf indungsgemaSe Sicherheitsanalyse ist somit zweckma&iger 
Weise auch als ein iterativer Analyse- und Verbesserungsprozess 
dargestellt. 

Das Verfahren zur Beurteilung der Sicherheit von Systemen kann 
vorteilhafter Weise auf Basis von CARTRONIC* Funktionsstrukturen 
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bzw. von CARTRONI C 0 - UML - Mode 1 1 en dargestellt werden, lasst sich 
aber auch auf andere Systemmodellierungen ubertragen. 

Verfahren wird zweckma£iger Weise mittels der CSA-Tabelle durch- 
gefuhrt. Durch die CSA-Tabelle werden globale Fehlerauswirkungen 
identifiziert und bewertet . Sie dokumentiert Fehlerabhangigkei- 
ten von Komponenten und Konununikationsbeziehungen. Ein Fehlver- 
halten wird dabei verursacht durch Funktionsstruktur-Fehler in 
Komponenten oder Kommunikationen. Kommunikationsf ehler (Auftra- 
ge, Anforderungen) werden bei der Zielkomponente der Kommunika- 
tion berucksichtigt. FS-Fehler bei Abfragen werden bei der 
Quellkomponente der Kommunikation berucksichtigt. 

Ein Fehlverhalten der Komponenten wird den globalen Auswirkung 
zugeordnet. Dadurch erreicht man nicht nur eine Beurteilung glo- 
baler Zustande, sondern auch welche Komponenten der Funktions- 
struktur dafxir verantwortlich sind. 



Verfahren ist in einer speziellen Ausfuhrungsf orm in einen CAR- 
TRONIC basierten Entwicklungsprozess integriert . Dadurch wird 
ein formales, systematisches Vorgehen gefordert. 

Die SicherheitsmaSnahmen werden in insbesondere ein CARTRONI C° - 
UML-Modell abgebildet. Dies ermoglicht eine formale Verifikation 
gegenuber-.festgelegten Produktanf orderungen oder der Produktspe- 
zifiktion. Eine Validierung der Produktspezif ikation ist bei 
dieser Vorgehensweise auch moglich. 

Somit kann vorteilhaft die Durchfuhrung weiterf iihrender quanti- 
tativer Sicherheitsbetrachtungen auf Grundlage der CSA-Tabelle, 
der CARTRONI C* - Funkt i ons s t ruk t ur oder des CARTRONI C° - UML - Mo de lis 
inklusive SicherheibsmaEnahmen erzielt werden. 
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Weitere Vorteile und vorteilhafte Ausgestaltungen ergeben sich 
aus der Beschreibung und/oder den Merkmalen der Anspruche . 

Zeichnung 

Die Erfindung wird nachf olgend anhand der durch die Figuren dar- 
gestellten Zeichnungen und Tabellen naher erlautert. 

Dabei . zeigt ' Figur 1 das Verfahren bzw. die Vorgehensweise bei 
der Sicherheitsanlayse . 

Figur 2 zeigt die CARTRONIC-Struktur eines beispielhaft betrach- 
teten Brems systems . 

Figur 3 stellt ein Beispiel fur eine UML-Modellierung der CAR- 
TRONIC- St ruktur nach Figur 2 dar.. 

Figur 4 zeigt den Tabellenkopf der CSA-Tabelle mit den globalen 
Auswirkungen dar. 

Figur 5 zeigt die Zuordnung der Fehlerauswirkungen zu den Si- 
cherheitsstuf en in einem FluSgraphen . . 

Figur 6 zeigt beispielhaft eine Bewertung der globalen Auswir- 
kungen. m ~ 

Figur 7 zeigt die Fehlerf ortpf lanzung in der Funktionsstriaktur 
bzw. die Zuordnung von FS-Fehlern zu den g'lobalei* Auswirkiongen. 
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Figur.8 bestehend aus den Einzelf iguren 8a, 8b, 8c und 8d zeigt 
die CSA-Tabelle, also die Sicherheitstabelle, gemafi dem Beispiel 
nach Figur 2 mit den entsprechenden Kennzeichen. 

Figur 9 zeigt die Einordnung der CSA in einen Entwicklungspro- 
zess, insbesondere nach V-Modell 



Beschreibung der Ausfiihrungsbeispiele 

Die im folgenden beschriebene Sicherheitsanalyse beruht auif der 
CARTRONIC®-Funktionsstruktur bzw. dem CARTRONIC S -UML-Modell des 
betrachteten Systems. Das CARTRONIC^-UML-Modell ist die Abbil- 
dung einer CARTRONIC 0 -Funktionsstr\iktur in die UML (Unified mod- 
eling language) . Durch die Abbildung in die UML erhalt man. eine 
formalisierte und genauer spezif izierte Darstellung, welctie eine 
automatisierte Realisierung der erfindung erleichtert. Die Ab- 
bildung einer CARTRONIC°-Funktionsstruktur in ein UML-Modell ist 
beschrieben in (Torre Flores, P.; Lapp, A.; Hermsen, W.; Schir- 
mer, J. ; Walther, M. ; Bertram, T.; Petersen, J. ; 2001, Integra- 
tion of a structuring concept for vehicle control systems into 
the software development process using UML modeling methods, De- 
troit/Michigan USA, SAE 2001-01-0066) . 

Die CARTRONIC* basierte Sicherheitsanalyse ist ein Verf ahren zur ' 
systematischen Sicherheitsanalyse auf abstrakter Systemebene und 
unterstutzt somit das Entwicklungskredo „.safety through design". 
Die in einer friiheren Verof f entlichung beschriebene Vorgeh.ens- 
weise zur CARTRONIC* basierten Sicherheitsanalyse (Bertram, T. ; 
Dominke, P.; Muller, B., 1999, The Safety-Related Aspect of CAR- 
TRONIC, Detroit/Michigan USA, SAE '99, Session Code PC 26) wird 
grundlegend uberarbeitet und erweitert urn die Analyse strixktu- 
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relief Fehlerabhangigkeiten. Durch die Verwendung des Verfahrens 
in einer fruhen Entwicklungsphase konnen Fehler und deren Ursa- 
chen abstrakt beschrieben werden z.B. „ Fehler vorhanden" oder 
„Fehler nicht vorhanden". Das Verfahren stellt somit eine Ab- 
straktion der FMEA (Failure Mode and Effects Analysis oder Feh- 
ler -Moglichkeits- und EinfluS- Analyse) dar, welches erweitert 
ist urn die Analyse struktureller Fehlerabhangigkeiten. Die FMEA 
ist dabei eine anerkanntes methodisches Verfahren zur Analyse, 
Bewertung und Dokumatation von Systemen, Bauteilen und Hearstel- 
lungsprozessen und dient vornehmlich der Fehlervermeidung . Die 
Intention der CSA ist nicht eine FMEA zu ersetzen, sondern le- 
diglich in einer fruhen Entwicklungsphase die Systementwickler 
bei der Identif ikation von potentiellen Gef ahrenstellen zu un- 
terstutzen. 

Zunachst werden wichtige Begriffe definiert, bevor die Erf indung 
dann anhand eines Beispiels erlautert wird. 

Definition 1 (globale Auswirkungen) 

Globale Auswirkungen sind physikalische Effekte, die sich 
durch Aktuatoren auf das Gesamtsystem Kraf tf ahrzeug aiaswir- 
ken. Sie werden von Sensorik (oder auch einem Fahrzeugfuh- 
rer) bemerkt durch Funktionsverlust (z.B. versagen des 
Brems system) oder Komf orteinbufie (z.B. durch Abschaltung von 
Assistenzsystemen wie beispielsweise Adaptive Cruise Con- 
trol) . 

Definition 2 (Funktionsstruktur-Fehler) 

Funkt ions a truktur- Fehler (FS-Fehler) sind Fehler, die ein 
Fehlverhalten einer Komponente oder einer Kommunikation be- 
wirken . 

Definition 3 (Funktionsstruktur-Fehler-Ursachen) 

Funktionsstruktur-Fehler-Ursachen (FS-Fehler-Ursachen) sind 
Griinde fur ein Fehlverhalten einer Komponente. Der Grund fur 
ein Fehlverhalten einer Komponente liegt im Vorhandensein 
von FS-Fehlern. FS-Fehler konnen weiter unterteilt werden in 
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verfeinerte Fehlerarten. Die verfeinerten Fehlerarten sind 



ten Fehlerarten konnen sein: 

Komponentenf ehler : 
Komponente tot 

Komponente berechnet falsche Werte 

Komponente ist unkontrolliert aktiv 

Komponente generiert Ergebnis zur falschen Zeit 

Kommunikat ions fehler : 

Kommunikation unterbrochen 

Kommunikation liefert falsche Inf ormation 

Kommunikation ist unkontrolliert aktiv 

Kommunikation liefert Information zur falschen Zeit 

Kommunikation ist fehlgeleitet 

Figur 1 zeigt die Vorgehensweise der CARTRONIC® basierten Si- 
cherheitsanalyse . Das Verfahren kann f olgendermaSen gegliedert 
werden : 

Schritt 1: Globale Auswirkungen identif izieren auf Basis 



Schritt 2 : Globale Auswirkungen bewerten durch Sicher- 

heitsstufen (SL) 
Schritt 3: Analyse von FS-Fehler-Ursachen (vgl . Definition 

3) , d.h. Fehler von Komponenten oder Kommunika- 



dann wiederum die Ursache fur die FS-Fehler. Die verfeiner- 



der CARTRONIC°-Funktionsstruktur bzw. des CAR- 
TRONIC e ~UML-Modells 



Schritt 



4: 



tionsbeziehungen analysiexen " *" 

Zuordnung eines Fehlverhaltens einer Komponente 
zu den globalen Auswirkungen" 



Schritt 



5: 



MaSnahmen zur Fehler erkennung und/oder 
Beherrschung ermitteln 

Erstellung bzw. Erganzung einer CARTRONIC°-Si - 
cherhe its s t ruk tur 



Schritt 



6: 



Schritt 



7 : 



Verifikation der result ieren Funktions- und Si- 
cherheitsstruktur unter Sicherheitsaspekt en 
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Im folgenden wird die Vorgehensweise der CARTRONIC® basierten 
Sicherheits analyse anhand eines Beispiels beschriebenen. Als 
Beispiel wurde ein vereinf achtes Bremssystem gewatilt. Die CAR- 
TRONIC 0 -Funktionsstruktur und das CARTRONIC°-UML Modell des ver- 
einf achten Brems systems ist in Figur 2 und Figur 3 dargestellt. 
Das Beispielsystem besteht aus den Komponenten Momen ten ve:rt ei- 
ler, Vortrieb, Bremssystem, Brems sy stemkoordinator , Bremsaktua- 
tor und Bremslicht. In der logischen, hierarchischen Funkfcions- 
struktur von CARTRONIC® befinden sich. die Komponenten Bremssy- 
stemkoordinator und Brems aktua tor in der Detaillierung des 
Brems syst ems . .Die Komponenten Momentenverteiler, Vortrieb und 
Bremssystem sind Detaillierungen von Vortrieb und Bremse. In der 
Funktionsstruktur ist Vortrieb und Bremse eine Detaillierung der 
Fahrzeugbewegung . Die Komponente Bremslicht befindet sich in der 
Detaillierung von Licht und Lichtzeichen, das eine Detaillierung 
von AujSejnbeleuchtun5r. Diese ist wiederum eine Verfeinerung der 
Komponente Sichtbarkeit und Signal isierung in Karosserie und In- 
nenraum. Die Detaillierungen von Fahrzeugbewegung und Karosserie 
und Innenraum sind in der FaJarzeugreJbene platziert . Die Fahrzeu- 
gebene ist die oberste Ebene der CARTRONIC° Funktionsstruktur . 
Der Momentenverteiler ist dafur zustandig die Moment enwiinsche 
des Fahrzeugfuhrers zu verteilen. Die Komponenten Bremssystemko- 
ordinator und Vortrieb fordern Moment e beim Momentenverteiler 
uber die Kommunikationen Rl und R2 an. Liegt nur eine Anforde- 
rung vom Vortrieb vox, so fragt der Momentenverteiler minimal 
und maximal zulassige Momentenwerte von der Komponente Vortrieb 
durch die Kommunikation II ab und sorgt dann fur die Umsetzung 
durch den Auf trag 02 . Liegt nur eine Anf orderung vom Bremssystem 
vor, dann- wird diese durch den Auf trag Ol realisiert. Liegen An- 
forderungen von Vortrieb und Bremssystem vor, so hat das Brems- 
system vorrang. Die Komponente Brems sy stemkoordinator in der De- 
taillierung des Bremssystems sorgt durch den Auftrag 03 an den 
Bremsaktuator fur die Umsetzung der Momente und mit der Anf orde- 
rung R3 fur die Ansteuerung des Bremslichts t damit wird der Fah- 
rerwunsch nachf olgenden Fahrzeugen signalisiert . 
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Die Erkenntnisse der CARTRONTC* basierten Sicherheitsanalyse 
werden in Form einer Tabelle, der CSA-Tabelle, ubersichtlicht 
zusammengefasst tind gespeichert. 

Durch die CSA-Tabelle erreicht man eine Zuordnung von einem 
Fehlverhalten einer einzelnen Komponente zu Fehlerabhangigkeiten 
innerhalb der Funktionsstruktur . Die in der CSA-Tabelle dokumen 7 
tierten FS-Fehler konnen zu den oben angegebenen Fehlerarten 
verfeinert werden. Die verfeinerten Fehlerarten sind auf ab- 
strakter Systemebene interpretierbar als Ursache fur die FS- 
Fehler. Des weiteren werden die „internen Auswirkungen" (Fehl- 
verhalten einer Komponente) den globalen Auswirkungen zugeord- 
net. Hierdurch werden komplexe Abhangigkeiten zwischen struktu- 
rinternen Fehlerabhangigkeiten und globalen Auswirkungen erkenn- 
bar. 

Das im folgenden beschriebene Verfahren stellt bzgl . der Ursa- 
chenanalyse einen „bottom-up"-Ansatz dar, da ausgehend von einem 
potentiellen Fehlverhalten die moglichen Ursachen dafur identi- 
fiziert werden. Die Vorgehensweise wird nun anhand des oben er- 
lauterten Beispiels und der bereits dargestellten Schritte 1-7 
erklart : 



Schritt 1 : Globale Auswirkungen identif izieren 

Globale Auswirkungen e-rgeben sich bei Betrachtung der System- 
schnittstelle zur • Umgebung . Die Aktuatoren, welche von dem be- 
trachteten Subsystem angesteuert werden, represent ieren die 
Schnittstellen zur Umgebung. In dem hier betrachteten Kontext 
bedeutet Umgebung das Kraft fahrzeug als Ganzes . Die Aktuatoren 
fur das in Figur 2 und Figur 3 dargestellte Beispielsystetn sind 
das Brems system bzw. in der Detaillierung der Bremsaktuator, der 
Vortrieb und das Bremslicht. Es werden lediglich solche globalen 
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Auswirkung betrachtet und z.B. in einem Computersystem erfaBt, 
die von dem zu untersuchenden Subsystem zu verantworten s±nd. So 
ist es z.B. nicht sinnvoll das Adaptive Cruise Control (ACC) 
Subsystem, welches das Bremssystem ansteuert, fur einen Total - 
verlust der Bremswirkung verantwortlich zu machen. Diese Zusam- 
menhange sind mittels Zuordnungstabellen oder Expertensysfcemen 
erfassbar und werden im Verf ahrensverlauf durch das System zu- 
greifbar zur Verfiigung gestellt. Bei iterativem Vorgehen konnen 
dann je nach Iterationsvorgang unterschiedliche Zusammenhange in 
oben dargestellter Form Anwendung finden. Dies, gilt auch fur das 
weitere Vorgehen wie. nachfolgend beschrieben. 

Fur das in Figur 2- dargestellte Beispiel konnen beispielsweise 
die nachf olgenden globalen Auswirkungezi identif iziert werden: 
Beschleunigungswirkung -> Vortrieb 

• Unkontrollierte Beschleunigung 
o Beschleunigung zu stark 

o Beschleunigung zu schwach 

• Keine Beschleunigung 

□ Bremswirkung -> Bremsaktuator 

• Keine Bremswirkung 

• Zu geririge Bremswirkung 

□ Signalisierung Bremslicht 

• Keine Anzeige 

• Kontinuierliche Anzeige (enthalt Szenario Bremslicht 
leuchtet, obwohl nicht gebremst wird) 

In Figur 4 ist der Tabellenkopf mit den globalen Auswirkungen 
der CSA-Tabelle dargestellt. 

Schritt 2 : Globale Auswirkungen bewerten durch Sicherheitsstuf en 

Die Bewertung der globalen Auswirkungen erfolgt in Anlehnung an 
die Anforderungsklassen, die in der DIN V 19250 definiert sind. 



* 



- 16 - 



R. 302665 



Die Anforderungsklassen in der Norm sincl allgemein fur MSR- 
Schutzeinrichtungen (MSR - Messen, Steuern, Regeln) definiert. 
Die Voraussetzungen, die dort festgelegt sind, lassen sich. nicht 
direkt auf Kraf tf ahrzeuge ubertragen. In dieser Norm flieSen die 
Punkte 

□ Auf enthaltsdauer im Gef ahrenbereich 

□ eine oder mehrere Personen sind von den potentiellen Auswir- 
kungen eines Fehlers betroffen 

in die Bewertung ein. Bei Kraf tf ahrzeugen ist die Berucksichti- 
gung dieser Falle hingegen nicht sinnvoll . Sie sind unter der 
Pramisse zu betrachten, dass beim Betrieb bestiramter Mascliinen 
eine Person, welche die Maschine bedient, diese von einem Priif- 
stand aus betatigt und nur unter bestimmten Voraussetzungen fur 
eine begrenzte Zeitdauer, z.B. bei Wartungsarbeiten, einenr po- 
tentiellen Gef ahr ausgesetzt ist . Im Kraf tf ahrzeug ist man hin- 
gegen standig einer potentiellen Gef ahr ausgesetzt. AuSerdem 
konnen immer mehrere Personen. von den Auswirkungen eines Fehlers 
betroffen sein. Bei Beachtung dieser Einwendungen kommt man zu 
angepassten „Anf orderungsklassen" fur Automobile, die im Rahmen 
der CSA als Sicherheitsstuf en (engl. safety level - SL) bezeich- 
net werden. Die Zuordnung der Sicherheitsstuf en zu Fehlerauswir- 
kungen ist in dem Risikograph' von Figur 5 dargestellt. 

Es wird unterschieden, ob eine Auswirkung im Einzelfall oder im 
Regelfall auftritt. Im Einzelfall bedeutet, dass in der uloerwie- 
genden Mehrheit der Falle nicht mit der entsprechenden Auswir- 
kung gerechnet werden muss. Den Sicherheitsstuf en konnen Ereig- 
-nishauf igkeiten zugeordnet werden. Eine solche Ereignishauf ig- 
keit ist als Sollgrofie zu verstehen, die von der spateren Reali- 
sierung" einer Komponente mindestens zu erfullen ist. Eine a 
priori Verification der Ereignishauf igkeiten ist in der Regel 
nicht moglich, da verlassliche Daten oft erst nach einem Serien- 
einsatz zur Verfugung stehen. Es ist jedoch moglich den mit ei- 
ner Sicherheitsstuf e verbundenen Sollwert der Ereignishauf igkeit 
nachtraglicht mit einem erfassten Istwert zu vergleichen. Tiritt 



17 - 

R. 302665 



hierbei eine Abweichung auf, d.h. ist die tatsachlich ermitfcelte 
Ereignishaufigkeit grofier, als die zulassige Ereignishauf igkeit 
einer Sicherheitsstuf e, so mussen Mafinahmen zur Reduktion der 
Ereignishauf igkeit getroffen werden. 

In Figur 6 ist die Bewertung der globalen Auswirkungen des 
Bremssystems durch Sicherheitsstuf en abgebildet . Ein Breras system 
ist eine aufcerst wichtige Funktionalitat eines Kraf tf ahrzeugs , 
die unter alien Umstanden gewahrleistet sein muss. Die globale 
Auswirkung „keine Bremswirkung* stellt im Regelfall eine Bedro- 
hung fur Leib und Leben dar, die vom Fahrzeugfiihrer nicht be- 
herrschbar ist. Deshalb muss hier die Sicherheitsstuf e SL4 ver- 
geben werden. Fur die Auswirkung „keine Beschleunigung" wird die 
Sicherheitsstufe SL1 vergeben, weil hier im Regelfall davon aus- 
gegangen werden kann, dass mit maximal leichten Verletzungen zu 
rechnen ist, z.B. durch Auf f ahrunfalle mit geringer Geschwindig- 
keitsdif f erenz . In Einzelf alien kanh eine Gefahr fiir Leib und 
Leben bestehen, die jedoch beherrschbar ist, z.B. einschalten 
der Warablinkanlage . 

Urn im folgenden eine ubersichtliche Darstellung zu erhalten wird 
auf die Verfeinerung der Tabellenspalte „Unkontrollierte Be- 
schleunigung" verzichtet . 



Schritt 3 : Funktionsstruktur-Fehler-Ursachenanalyse 
Bei der Ursachenanalyse wird die Frage gestellt : Was verursacht 
ein Fehlverhalten einer Komponente { Moment enverteiler, Vortrieb, 
Bremssystem, Bremssystemkoord'inator , Bremsaktuator , Bremslicht} 

? ' • 

Die Ursachenanalyse untersucht, wodurch ein Fehlverhalten der 
CAR-TRONIC* Komponenten {Moment enverteiler,. Vortrieb, Bremssy- 
stem, Bremssystemkoordinator, Bremsaktuator, Bremslicht} bedingt 
sein konnte. Untersucht wird ein Fehlverhalten von Komponenten 
und ihren Detaillierungen, soweit diese -bekannt sind. Zur Ursa- 
chenanalyse wird die CARTRONIC°-Funktionsstruktur des betrachte- 
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ten Systems in die Kopfzeile „Funktionsstruktur" der CSA-Tabelle 
ubernommen . AuSerdem wird die C^tfmiONIC^-Funktionsstruktur in 
die Spalte „ Fehlverhalten Komponenten u ubernommen. (siehe Figur 



Falls ein FS-Fehler in einer Komponente ein Fehlverhalten in der 
selben Komponente verursacht erfolgt die Zuordnung der Komponen- 
te aus der Funktionsstruktur zu einem Fehlverhalten der selben 
Komponente (Keimzeichnung mit „x", vgl . Figur 7). Zusatzlich 
werden auch fur die Komponente relevante FS-Fehler der Kommuni- 
kationsbeziehungen berucksichtigt . Verursacht ein FS-Fehler ei- 
ner Kommunikationsbeziehung ein Fehlverhalten, so erfolgt eben- 
falls eine Zuordnung zur Funktionsstruktur, welche die Art und 
den Namen der betrachteten Kommunikation wiedergibt . Die Art der 
Kommunikationsbeziehung wird mit dem groJSgeschriebenen Anfangs- 
buchstaben des . englischen Ausdrucks der Kommunikation bezeich- 
net. Folglich wird fur einen Auftrag (engl. Order) ein „0" , fur 
eine Anforderung (engl. Request) ein „R" und fur eine Abfrage 
(engl. Inquiry) ein J« verwendet . Der Art der Kommunikation 
folgt ein Unterstrich dem sich der Name der Kommunikations- 

beziehung anschlieSt (z.B. I_I1) . 

Bei der Ursachenanalyse fur ein Fehlverhalten einer Komponente 
wird die 

□ Komponente selbst, sowie 

□ ankommende Auftrage 

□ ankommende Anf orderungen 

□ abgehende Abfragen 

betrachtet. 

Im weiteren Verlauf werden die Fehlerabhangigkeiten untersucht-. 
Es wird somit ermittelt, welche Weiteren Komponenten und Kommu- 
nikationen fiir ein Fehlverhalten der betrachteten Komponeixte 
verantwortlich sein konnen. Hierfiir werden die in der Spalte M 
einer Komponente stehende (n) Kommunikation (en) zuruckverf.olgt 
und die neu gef undene (n) Komponente (n) in der selben Zeile dem 
Komponentenf ehlverhalten zugeordnet . Eine der neu gef undenen 



7) . 




R. 302665 

Komponenten dient als neuer Ausgangspunkt . Die dieser Komponente 
zugeordnete (n) Kommunikation(en) werden ermittelt und in der 
Spalte M der entsprechenden Komponente aufgenommen. Es werden 
wiederum die dieser Komponente zugeordneten Kommunikationen zu- 
ruckverf olgt . Damit werden neue Ausgangskomponenten gefunden. 
Dieser Vorgang wird so lange iterativ fortgefuhrt, bis keine 
weiteren Kommunikationen vorhanden sind bzw. alle erreichbaren 
Komponenten durchlaufen wurden (vgl . nachf olgendes Beispiel und 
Figur 8) . 

Beispiel: 

Ein Fehlverhalten der Komponente Momen t en vex teller (fc^) hat 
die Ursache darin, dass ein Komponentenf ehler in der Komponen- 
te Moinentenverteiler (fc x ) selbst, ein Kommunikationsf ehler in 
der Abfrage II oder der Anforderung Rl oder der Anforderung 
R2, ein Komponentenf ehler in der Komponente Vbrtrieb (fc 3 ) 
oder eih Kommunikationsf ehler im Auftrag 02 bzw. ein Komponen- 
tenfehler in der Komponente Bremssystemkoordinator (fc 21 ) oder 
im Auftrag Ol auf getreten ist . 
- Ein Fehlverhalten der Komponente Bremssystem (fc 2 ) hat die Ur- 
sache darin, dass entweder ein Komponentenf ehler in dem Brems- 
system (fc 2 ) selbst vorliegt oder ein Kommunikationsf ehler im 
Auftrag Ol oder ein Komponentenf ehler im Momentenverteiler 
(fcj mit den hier zu beriicksichtigenden potent iellen Kommuni- 
kationsf ehlern Anforderung Rl, Anforderung R2 und Abfrage II 
oder ein Fehler in der Komponente Vortrl eJb (fc 3 ) oder ein Kom- 
munikationsf ehler im Auftrag 02 auf getreten ist. 

Die Eintrage in der CSA-Tabelle fur das in Figur 2 dargestellte 
Beispiel, sind" aus Figur 8, insbesondere Figur 8a, ersichtlich. 

Wird ein Fehlverhalten einer Komponente in der Verfeinerung be- 
trachtet, so -ist die Hiille fur die Ursachenanalyse nicht von In- 
teresse, da nur Kommunikationsbeziehungen von der hoheren Ebene 
in die Verfeinerung weitergeleitet werden. Die Spalte Bremssy- 
stem (Bremssystem *(fc 2 ) ist Hiille von Bremssystemkoordinator und 
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Bremsaktuator) der „Funktionsstruktur" muss fur die Ursachenana- 
lyse eines Fehlverhaltens der Komponente Bremssystemkoordinator 
(Zeile Bremssystemkoordinator (fc 21 ) in der Spalte „Fehlverhalten 
Komponenten") nicht berucksichtigt werden. Bei der Ursachenana- 
lyse eines Fehlverhaltens der Komponente Bremslicht ist es nicht 
notwendig die Analyse fur die Komponente Bremssystem durchzufuh- 
ren, falls die Analyse fur die Verfeinerung der Komponente 
Bremssystem durchgefuhrt wurde. Mogliche Ursachen werden bei der 
Betrachtung der Verfeinerung (Bremssystemkoordinator und Brem- 
saktuator) bereits berucksichtigt. 

Die CSA Tabelle erlaubt somit eine Verfolgung von logischen Feh- 
lerabhangigkeiten. Die Spalten der Funktionsstruktur mit vielen 
Eintragen z.B. Spalte Momentenverteiler (fc x ) und Spalte Vor- 
trieb (fc 3 ) sind wichtige Komponenten, da sich dort ein Fehler 
auf grofie Teile des Systems auswirkt. 



Schritt 4 : Zuordnung eines Fehlverhaltens einer Komponente, zu 
den global en Auswirkungen 

Zunachst werden also die in Schritt 1 identif izierten globalen 
Auswirken .den Komponenten z'ugeordnet, deren Fehlverhalten eine 
globale Auswirkung verursacht. Diese Komponenten sind die Sy- 
stem-Schnittstellen (siehe Schritt 1) . 

Unter Schritt 1 ist diese Zuordnung bereits dargestellt. 

□ Beschleunigungswirkung -> Fehlverhalten Vortrieb 

□ Bremswirkung Fehlverhalten Bremsaktuator 

□ Signal isierung -> Fehlverhalten Bremslicht 

Diese Zuordnung in der CSA-Tabelle ist aus Figur 8b ersichtlich. 

Durch die Fehlerabhangigkeiten, die in Schritt 3 ermittelt wur- 
den, erhalt man eine Zuordn\mg der tibrigen Komponenten zu den 
globalen Auswirkungen. Dies erreicht man durch Betrachtung der 
Spalten der Funktionsstruktur fur die Zeilen der System- 
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Schnittstellen (Fehlverhalten der Komponenten Bremsaktuator 
(fc 22 ) , Vortrieh (fc 3 ) und Bremslicht (fc 4 ) ) . Jede Spalte der 
Funktionsstruktur, die einem Fehlverhalten der System- 
Schnittstellen zugeordnet ist, d.h. mit einem „x u gekennzeichnet 
ist, kann die selben globalen Auswirkungen verursachen. Der Hul- 
le einer Detaillierung werden alle globalen Auswirkungen zuge- 
teilt, die den Komponenten • der Detaillierung zugeordnet sind. 
Das Resultat dieses Schrittes ist in Figur 8c dargestellt. • 

Beispiel: 

Im folgenden wird die Komponente Momentenverteiler (fcj in 
der Funktionsstruktur betrachtet . Die Komponente Momentenver- 
teiler (fc.J in der Funktionsstruktur ist der Zeile Fehlver- 
halten Bremsaktuator (fc 22 ) zugeordnet, d.h. ein FS-Fehler in 
der Komponente Momentexiv&rteiler kann ein Fehlverhalten des 
- Bremsaktuators verursachen. Daraus kann gefolgert' werden, dass 
ein Fehlverhalten der Komponente Momentanverteiler auch die 
globalen Auswirkungen des Bremsaktuators verursachen kann. Die 
globalen Auswirkungen eines Fehlverhaltens des Bremsaktuators 
(„keine Bremswirkung" und „zu geringe Bremswirkung^) werden 
somit auch dem Fehlverhalten des Momentenverteilers zugeord- 
net. AuSerdem kann ein FS-Fehler in der Komponente Momexiten- 
verteiler (fc x ) ein Fehlverhalten des* Vbrtriebs (fc 3 ) verursa- 
chen. Ein Fehlverhalten der Komponente Momentenverteiler kann 
somit auch die globalen Auswirkungen „unkontrollierte Be- 
schleunigung" und „keine Beschleunigung" bewirken. Ein FS- 
Fehler in der Komponente Momentenverteiler (f c x ) kann ein 
Fehlverhalten des Bremslichts (£c«) verursachen. Somit kann 
ein Fehlverhalten der Komponente Mbmentenverteiler die globa- 
len Auswirkungen „keine Anzeige u und „kontinuierliche Anzeige w 
verursachen. 

Ein Fehlverhalten des Bremssystems (f-c 2 ) als Hulle der Kompo- 
nenten Bremssystemkoordinator (fc 21 ) .und Bremsaktuator (fc 22 ) 
kann - die globalen Auswirkungen aller seiner Komponenten in der 
Detaillierung verursachen . 
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Schritt 4,1 : Sicherheitsstuf en einem Fehlverhalten von Komponen- 
ten zuordnen 

Der Maximalwert der Sicherheitsstuf e der globalen Auswirkungen, 
der in einer Zeile einem Fehlverhalten zugeordnet ist wird in 
das entsprechende Element der Spalte SL eingetragen. Die Vorge- 
hensweise ist in Figur 8d verdeutlicht . 

Schritt 5 : MaSnahmen zur Fehlererkennung und/oder Beherrschung 

Die folgenden beiden Tabellen enthalten MaSnahmen zur Fehlerer- 
kennung und Beherrschung fur Komponenten (Tabelle 2) und Kommu- 
nikat i onsbez i ehungen ( 
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Tabelle 3) . 



Tabelle 2: Zusammenstellung von MaSnahmen zur Fehlererkennung und 
Beherrschung fur funktionale Komponenten. 

5 



Fehler - 
art 
(Ursa- 
che) 


Mai 

Fehl er erkennung 


&nahmen 

Fehlerbeherrschung 


Komponente tot ^^^^ 


• Bestatigung bzgl. Kommuni- 
kationsinhalt 

• Funktionsredundanz 

• Kontrollrechnung mit alter- 
nativen Eingangsgrofien 

• Kontrollrechnung/Abfrage 
mit Ref erenzwerten oder 
Eingangsmustern 

• T TV) ca >~ta7^ phnnn T^Viiro imrl / ,->^3 

elektr. Grofien bei bekann- 
ten Randbedingungen 

• Zeitliche und logische Ab- 
1 au f iibe rwa chung 


• Redundanz 

• Abschaltung der fehlerbeein- 
flussten Teilfunktion 

• Abschaltung der Elektronik auf 
Fzg. -Grundfunktion 

• Sicherer Abschaltzustand 

i System bleibt fehlerhaf fc in 
Betrieb 

» Fehler beseitigen 

• Situationsabhangige Strategie- 
anderung zur Zielerrei chung mit 
reduzierten Mitteln 

• Zusatzliche Mittel j 


Berechnet falsche Werte 


• Bestatigung bzgl. Kommuni- 
kationsinhalt 

• Funkt ions redundanz 

• Kontrollrechnung mit alter- 
nativen Eingangsgrofien 

• Kontrollrechnung/Abfrage 
mit Ref erenzwerten oder 
Eingangsmustern 

• Uberwachung phys . und/ oder 
elektr. Grofien bei bekann- 
ten Randbedingungen 


• Redundanz 

• Abschaltung der fehlerbeein- 
flussten Teilfunktion 

• Abschaltung der Elektronik auf 
Fzg . - Grundf unkt i on 

• Sicherer Abschaltzustand 

• System bleibt f ehlerhaft in 
Betrieb 

• Fehler beseitigen 

• Situationsabhangige Strategie- 
anderung zur Zielerrei chung mit 
reduzierten Mitteln 

° Zusatzliche Mittel 
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Bestatigung bzgl. Kommuni- 
kations inhal t 
Funk t i oris r edundan z 
Kontrollrechnung mit alter- 
nativen Eingangsgro-Ben 
Kon t r o 1 1 r e chnung / Ab f rage 
mit Ref ererizwerten Oder 
Eingang smus t era 
Uberwachxing phys . und/oder 
elektr. Grofien bei bekann- 
ten Randbedingungen 



Redundanz 

Abschaltung der fehlerbeein- 
flussten Teilfunktion 
Abschaltung der Elektronik auf 
Fzg. -Grundfunktion 
Sicherer Abschaltzustand 

System bleibt f ehlerhaf t in 
Betrieb 

Fehler beseitigen 
Situationsabhangige Strategie- 
anderung zur Zielerreicnung mit 
reduzierten Mitteln 
Zusatzliche Mittel 
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Tabelle 3: Zusammenstellung von Ma£nahmen zur Fehlererkennung' und 
Beherrschung fur Kommunikationsbeziehungen 



Fehlerart 
(Ursache) 




H 



O 
U 

§ 



Fehlererkennung 



MaJSnahmen 



Bestat igung b zgl . Kommuni - 
kationsinhait 
Funkt i ons r edundanz 
Kontrollrechnung mit al- 
ternativen Eingangsgrofien 
Kont rol Ire chnung/Xbf rage 
mit Referenzwerten oder 
Eingangsmustern 
Uberwachung der Ubertra- 
gungswege 

Uberwachung phys . und/oder 
elektr. GroSen bei bekann- 
ten Randbedingungen 
Zeitliche und logische Ab- 
1 au f iib e rwachung 

Dynamische Formulierung 
von Kommunikationen und 
errechneten Werten 



Fehlerbeherrschung 



Redundanz 

Abschaltung der fehlerbeein- 
flussten Teilfunktion 
Abschaltung der Elektronik auf 
Fzg. -Grundfunktion 
Sicherer Abschaltzustand 
System bleibt fehlerhaf t in 
Betrieb 

Fehler beseitigen 
Situationsabhangige Strategie- 
anderung zur Zielerreichung mit 
reduzierten Mitteln 
Zusatzliche Mittel 

Zeit- und Logiksteuerungsiiber- 
wachung 




-U 
-H 
<D 

rH 
rH 
A 



Bestatigung bzgl . Kommuni - 
kationsinhait 
Funk t i ons re dundanz 
Kontrollrechnung mit al- 
ternativen Eingangsgrofien 
Kon t r o 1 1 r e c hnung / Ab f r age 
mit Referenzwerten oder 
Eingangsmus tern 

Uberwachung der Ubertra- 
gungswege 

Uberwachung phys . und/oder 
elektr. Grofien- bei bekann- 
ten Randbedingungen 
Zeitliche und .logische Ab- 
1 auf uberwachung 
Dynamische Formulierung 
von Kommunikationen und 
errechneten Werten 



Redundanz 

Abschaltung der f ehlerbeein- 
flussten Teilfunktion 
Abschaltung der Elektronik auf 
Fzg . -Grundfunktion 
Sicherer Abschaltzustand 
System bleibt fehlerhaft in 
Betrieb 

Fehler beseitigen 
Situationsabhangige Strategie- 
anderung zur Zielerreicnung mit 
reduzierten Mitteln 
Zusatzliche Mittel 
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Bestatigung bzgl . Kommunikati- 
onsinhalt 

Funkt ionsre dundanz 
Kontrollrechnung mit alternati- 
ven Eingangsgrofien 

Kontrollrechnung/Abfrage mit 
Referenzwerten oder Eingangsmu- 
stern ■ 

Uberwachung phys . und/oder 
elektr. Grofien bei bekannten 
Randbedingungen 
Zeitliche und logische Ab- 
1 auf uberwachung 



Bestatigung bzgl. Kommunikati- 
onsinhalt 

Funkt ionsredundanz 
Kontrollrechnung mit alternati- 
ven EingangBgrofien 

Kontrollrechnung/Abfrage mit 
Referenzwerten oder Eingangsmu- 
stern 

Uberwachung phys. und/oder 
elektr. Grofien bei bekannten 
Randbedingungen 
Zeitliche und logische Ab- 
1 auf ube rwachung 



Bestatigung bzgl. Kommunika- 
ti onsinhalt 

Funktionsredundanz 
Kontrollrechnung mit alter- 
nativen EingangsgroSen 
Uberwachung phys . und/oder 
elektr. Grofien bei bekannten 
Randbedingungen 

Zeitliche und logische Ab- 
1 auf lib e rwachung 



Redundanz ~ . ~ 

Abschaltung der f ehlerbeeinf luss- 

ten Teilfunktion 

Abschaltung der Elektronik auf 

Fzg . -Grundf unktion 

Sicherer Abschaltzustand 

System bleibt f ehlerhaft in Be- 
trieb 

Fehler beseitigen 

Situationsabhangige Strategieande- 
rung zur Zielerreichung mit redu- 
zierten Mitteln 
Zusatzliche Mittel 



Redundanz 

Abschaltung der f ehlerbeeinf luss- 
ten Teilfunktion 

Abschaltung der Elektronik auf ■ 
Fzg . -Grundf unktion 
Sicherer Abschaltzustand 

System bleibt fehlerhaft in Be- 
trieb 

Situationsabhangige Strategieande- 
rung zur Zielerreichung mit redu- 
zierten Mitteln 
Zusatzliche Mittel 



Redundanz 

Abschaltung der fehlerbeein- 
flussten Teilfunktion 
Abschaltung der Elektronik auf 
Fzg . -Grundf unktion 
Sicherer Abschaltzustand 
System bleibt fehlerhaft in 
Betrieb 

Fehler beseitigen 
Situationsabhangige Strategie- 
anderung zur Zielerreicttung mit 
reduzierten Mitteln 
Zusatzliche Mittel 
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Bestatigung bzgl . Kommunika- 
tionsinhalt 

Funk t i on s r e dundan z 
Kontrollrechnung mit alter- 
nativen EingangsgroSen 

Kontrollrechnung/Abf rage mit 
Ref erenzwerten oder Ein- 
gang smus t e rn 

Uberwachung der Ubertra- 
gungswege 

Uberwachung phys . und/oder 
elektr. Grofien bei bekannten 
Randbedingungen 



Redundanz 

Abschaltung der f ehlerbeein- 
flussten Teilfunktion 

Abschaltung der Elektronik auf 
-Fzg . -Grundf unktion 

Sicherer Abschaltzustand 
System bleibt fehlerhaft in 
Betrieb 

Fehler beseitigen 
Situations abhangige Strategie- 
anderung zur Zielerreicbung mit 
reduzierten Mitteln 
Zusatzliche Mittel 



10 




MaSnahmen zur Fehler erke'nnung und/oder Fehlerbeherrschung auf 
einer hohen Abstraktionsebene anzugeben gestaltet sich schwie- 
~rig, falls noch keine konkrete Systemrealisierung vorhanden ist. 
Fur viele abstrakte Fehler in der CSA-Tabelle lassen sich nur 
dann wirksame und wirtschaf tlich sinnvolle MaSnahmen zur Feh- 
lererkennung und -beherrschung angeben, wenn diese realisie- 
rungsabhangig angegeben werden, d.h. fur eine konkrete Systemto- 
pologie. Bei realisierungsunabhangiger Betrachtung gibt es an- 
sonsten zu viele Moglichkeiten, die auf abstrakter Ebene zur L6- 
sung angegeben werden konnen (vgl, Tabelle 2 und 
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Tabelle 3) . Die MaSnahmen geben Moglichkeiten zur Erkermung und 
Beherrs chung der abstrakten Ursachen an. Diese abstrakten Ursa- 
chen konnen als Fehler-Modi (Fehlerarten) der allgemeineren FS- 
Fehler yerstanden werden (vgl . Definition 3) . 

Auf hoher Abstraktionsebene lassen sich MaSnahmen angeben, die 
schon in einer fruhen Entwicklungsphase of f ensichtlich sind. 

Dazu zahlen Ma£nahmen, welche die Fehlerausbreitung verhindern 
Oder auf Plausibilitat basieren. So kann of f ensichtlich sein, 
dass ein Signal nur innerhalb bestinimter Grenzwerte liegen darf . 
Fehlerausbreitung kann durch Redundanz eingegrenzt werden. Red- 
undante Strukturen konnen in spateren Entwicklungsphasen, d-h. 
bei detaillierter Kenntnis der realisierten Topologie in kosten- 
gunstige Mafinahmen umgewandelt werden. Ein Beispiel hierfiir sind 
Codes zur Fehlererkennung und -korrektur. Die Klartextlictien An- 
gaben der Tabellen sind im Programm bz . Computersystem duirch Ko- 
dierungen verkurzbar und zuordenbar 

Eine optimale Losung technischer und wirtschaf tlicher Art kann 
erst dann gefunden werden, wenn man einen Fehler innerhalb einer 
bekannten Topologie betrachtet. Wird fur eine Abfrage die Ursa- 
che „liefex:t falsche Information" als kritisch identif iziert , so 
hangt die zu treffende MaSnahme sehr stark davon ab, wie die Ab- 
frage realisiert ist. Wird der Wert innerhalb eines Prozessorsy- 
stems abgefragt (z.B. interner Speicher) , so ist evtl. keine 
Ma£nahme zu treffen (eigensicher) bzw. man kann das Prozessorsy- 
stem als gesamte Einheit betrachten und somit eine Vielzatil von 
Operationen mit einer einzigen MaSnahme uberwachen, z.B. 
Watchdog -Timer. Lauft die Kommunikation uber eine externe Ver- 
bindung (Kabel, Bussystem) , so muss die Verbin- 

dung/Nachrichteniibertragung eventuell redundant ausgelegt wer- 
den. Bei EMV Problemen geniigt es ggf . schon, wenn man eine Ver- 
bindung uber ein geschirmtes Kabel ohne -jeglichen zusatzlichen 
elektronischen Auf wand gewahrleisten kann. 
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Schritt 6 : CARTRONIC* - Sicherheitsstruktur 

Die CARTRONIC 0 Darstellung eines Systems (Dargestellt fur ein 
Beispiel in Figur 2) kann abgebildet werden in ein CARTRONIcf- 
UML Modell (Figur 3) . Dies erlaubt eine formalere Systemspezif i- 
kation als CARTRONIC 0 . AuJSerdem ist UML eine international ge- 
normte Sprache. Fur die Beschreibung einer Systemtopologie ist 
es jedoch erf orderlich das bestehende CARTRONIC 0 -UML Modell zu 
erweitern. Die Erweiterung muss die Abbildung der Mafinahmen zur 
Fehlererkennung und -beherrschung, die Partitionierung der- Funk- 
tionen auf Steuergerate und die Darstellung von zeitlichen und 
logischen Ablaufen umfassen. Die erweiterte Struktur kann zur 
Dokumentation der verwendeten Sicherheitsma£nahmen verwendet 
werden. Eine Darstellung, in welcher Struktur, Funktionalitat 
und Topologie enthalten sind, ist auch geeignet fur zukunftige 
quantitative Systemanalysen, insbesondere zur automatisierten 
Durchf uhrung . 



Schritt 7 : Ver i f ikat ion 

Bei der Verifikation wird tiberpruft, ob die Resultate der CAR- 
TRONIC* basierten Sicherheits analyse dazu fuhren, dass eine Pro- 
duktspezif ikation erfiillt wird. Es wird untersucht, ob die ver- 
gebenen Sicherheitsstuf en den Anf orderungen der Spezif ikation 
entsprechen, ob also die zu erzielenden Sicherheitsstuf en mit 
vorgebbaren und somit zu erzielenden ubereinstimmen. Ist dies 
nicht der Fall, so kann eine weitere Iteration der CARTRONT C & 
basierten Sicherheitsanalyse durchlaufen werden. Diese'r iterati 
ve Verbesserungsprozess wird so lange fortgefuhrt , bis alle An- 
forderung der Spezif ikation bzw. der vorgegeben Sicherheitsstu- 
fen erfiillt sind. 

In Figur 12 ist die Einordnung der CSA in einen Entwicklungspro 
zess dargestellt. Der verwendete Entwicklungsprozess orlentiert 
sich am V-Modell. Das V-Modell ist ein Entwicklungs standard des 
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Buncles fur IT-Systeme. Es ist moglich das V-Modell proj ektspez± - 
fisch an gegebene Randbedingungen anzupassen. Dieser Vorgang 
wird als Tailoring bezeichnet. Im V-Modell werden Tatigkeiten 
(Aktivitaten) und ihre Produkte festgelegt. Das fur den CARTRO- 
NIC° basierten Entwicklungsprozess angepasste inkrementelle, 
iterative V-Modell (IIV-Modell) wird auf den drei Ebenen Syste- " 
mebene, Subsystemebene und Teilrealisierungsebene angewendet. 
Die Navigation im IIV-Modell erfolgt entlang der eingezeichneten 
Pfeile. Es ist moglich von der linken auf die rechte Seite einer 
Ebene des V-Modells (Testfalle) und zuruck (Iterationen) zu ge- 
langen. Zwischen den Ebenen sind auch mehrere Inkremente mog- 
lich. Auf der Teilrealisierungsebene kann beispielsweise erkannt 
werden, dass zusatzliche Funktionen fur eine Realisierung beno- 
tigt werden- Es.kann dann ein zusatzliches Inkrement durchlauf en 
werden indem auf der Subsystemebene die Funktionen und ihre In- 
teraktionen eingefuhrt werden und diese dann ihrerseits auf dear 
Teilrealisierungsebene realisiert werden. Auf der Systemebene 
wird das Kraf tf ahrzeug als Ganzes betrachtet . Die Subsystemebene 
detailliert das Gesamtsystem Kraf tf ahrzeug in Teilsysteme. Diese 
Teilsysteme konnen beispielsweise die Motorsteuerung, das Brems - 
system, das Getriebe oder ein Adaptive Cruise Control sein. Die 
Subsystemebene stellt die Teilsysteme des Kraf tf ahrzeugs noch 
realisierungsunabhangig dar, d.h. es wird lediglich die Funktio — 
nalitat nicht jedoch die technische Realisierung betrachtet. Axxf 
der Teilrealisierungsebene wird jedes Subsystem weiter detail- 
liert. Es wird eine Entscheidung uber eine Topologie getroffen 
und ob eine Funktion als Software, Computer Hardware, Hydraulik:, 
Elektronik, Elektrik, Mechanik etc. realisiert wird. Anschlie- 
Eend wird ein entsprechendes Subsystem erstellt und gegebenen- 
falls die Software implementiert . Auf jeder Ebene des IIV- • 
Modells wird auf der linken Seite des V-Modells eine Anforde- 
rungsanalyse durchgefuhrt und ein Entwurf angefertigt. Die recti — 
te Seite des IIV-Modells dient der Integration und der Verifika.- 
tion des auf der entsprechenden Ebene erstellten Entwurf s . Auf 
der Systemebene -kann zusatzlich zu den beschriebenen Vorgangen 
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eine Validation durchgefuhrt werden. Eine Validation priiffc, ob 
die Systemspezif ikation die an sie gestellten Anf orderungen er- 
fullt. Die Verif ikation hingegen xiberpruft ein Produkt gegenuber 
der Spezif ikation. 

Die Vorgehens schritte Schritt 1 bis Schritt 5 werden in der Ana- 
lysephase der Subsystemebene durchgefuhrt. Schritt 6 wird in der 
Entwurf sphase der Subsystemebene umgesetzt. Aufgrund der Uberle- 
gungen in Schritt 5, namlich dass eine Konkretisiemng von Ma£- 
nahmen zur Fehlererkennung und Beherrschung haufig erst bei be- 
kannter Systemtopologie sinnvoll ist, empfiehlt sich eine De- 
taillierung der SicherheitsmaSnahmen in Schritt 5 und Schritt 6 
auf der Teilrealisierungsebene dur chzuf uhr en . In dieser Pliase 
wird die Systemtopologie, d.h. die Partitionierung der Funktio- 
nalitaten auf Steuergerate vorgenommen und die Funktionsreali- 
sierungen festgelegt. Die CSA, wie sie hier beschrieben ist, 
wird also hauptsachlich auf der Subsystemebene angewendet . Es 
ist jedoch vorteilhaft die CSA auch auf der Teilrealisierungse- 
bene fortzufuhren. Hier wird eine Anf or derungs analyse durchge- 
fuhrt, wie Sicherheitsmafenahmen in Abhangigkeit der Topologie 
und der Realisierung des Teilsystems zu gestalten sind und ein 
entsprechender Entwurf angefertigt. Dieser Entwurf und seine In- 
tegration konnen auf der rechten Seite des IIV-Modells verifi- 
ziert werden. 

Die gezeigte Erfindung kann automatisiert auf einem Compufcersy- 
stem ablaufen. Dazu sind die einzelnen Schritt e oder Teile die- 
ser Schritte ebenso wie die Tabellen als Computerprogramm mit 
Daten und Befehlen darstellbar, so dass die Schritte 1 bis 7 als 
Programmcode abgespeichert werden konnen und in einer Einrich- 
tung insbesondere einem Computersys tern zur Ausfuhrung gelangen 
um ein erf indungsgemaEes Verfahren auszufuhren: Als Speicher 
bzw. Datentrager kann hierbei jede denkbare Form gel ten wie z.B. 
CD-ROM, DVD, Diskette, EPROM, F 1 as hE PROM , ROM, RAM, usw. wodurch 
ein Computerprogrammprodukt in Verbindung mit* dem Computerpro- 
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gramm vorliegt. Insbesondere eine Ubertragung des Programms via 
NTetzwerken wie Internet von einem Speicher zu einem ancieren 
Speicher bzw. Netzwerkteilnehmer fallt ebenfalls darunter . 
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Anspruche 

1. Verfahren zur Durchfuhrung einer Sicherheitsanalyse bei Sy- 
stemen, insbesondere in einem Kraf tf ahrzeug, wobei die Systeme 
oder das wenigstens eine System aus mehreren Komponenten beste- 
hen, zwischen denen Kommunikationsbeziehungen bestehen, wobei 

-die Komponenten und deren Kommunikationsbeziehungen eine Funkti 
onsstruktur der Systeme oder des wenigstens eine Systems bilden 
dadurch gekennzeichnet , dass Fehler in Abhangigkeit von der 
Funkti onsstruktur ermittelt werden und diese Fehlerabhangigkei- 
ten bezuglich der Funktionsstruktur ausgewertet werden. 

2. Verfahren nach Anspruch 1, dadurch gekennzeichnet, dass die 
Fehlerabhangigkeiten in der Funktionsstruktur nachverfolgt wer- 
den, wodurch Fehlerpfade generiert werden, wobei globale Auswir 
kungen der Fehler als AbschluS der Fehlerpfade ermittelt werden 

3. Verfahren nach Anspruch 1, dadurch gekennzeichnet, dass die 
Fehlerabhangigkeiten in der Funktionsstruktur nachverfolgt wer- 
den, wodurch -Fehlerpfade generiert werden, wobei globale Auswir- 
kungen der Fehler als AbschluS der Fehlerpfade ermittelt und be- 
wertet werden. 

4. Verfahren nach Anspruch 3, dadurch gekennzeichnet, dass die 
globalen Auswirkungen durch Ermittlung wenigstens einer Sicher- 
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heitsstufe bewertet werden. 

5. Verfahren nach Anspruch 1, dadurch gekennzeichnet , dass zu- 
satzlich zu den Fehlerabhangigkeiten bezuglich der Funktions- 
struktur Fehler ermittelt werden, welche ein Fehlverhalten einer 
Komponente oder einer Kommunikationsbeziehung bewirken. 

6. Verfahren nach Anspruch 2 oder 3 und 5, dadurch gekennzeich- 
net, dass Fehlverhalten einer Komponente oder einer Kommuriikati- 
onsbeziehung zu den globalen Auswirkungen zugeordnet werden. 

7. Verfahren nach einem der vorhergehenden Anspruche, dadurch 
gekennzeichnet, dass Ma&nahmen zur Fehlererkennung und/oder Feh- 
lerbeherrs chung ermittelt werden. 

•8. Verfahren nach einem der vorhergehenden Anspruche, daduirch 
gekennzeichnet, dass die Funktionsstruktur dahingehend erweitert 
wird, dass die globalen Auswirkungen und/oder dass Fehlverhalten 
einer Komponente oder einer Kommunikationsbeziehung berucksich- 
tigt wird. 

9. Verfahren nach einem der vorhergehenden Anspruche, dadurch 
gekennzeichnet, dass die Funktionsstruktur dahingehend erweitert 
wird, dass MaSnahmen zur Fehlererkennung und/oder Fehlerbeherr- 
schung einbezogen werden. 

10. Verfahren zur Erzielung einer vorgebbaren Sicherheitsstuf e 
bei Systemen, insbesondere in einem Kraf tf ahrzeug, wobei (die Sy- 
steme oder wenigstens ein System aus mehreren Komponenten beste- 
hen, zwischen denen Kommunikationsbeziehungen hesteheii, wobei 
die Komponenten' und der en Kommunikationsbeziehungen eine Funkti- 
onsstruktur der Systeme bilden, wobei Fehler in Abhangigkeit von 
der Funktionsstruktur ermittelt werden- und diese Fehlerabhangig- 
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keiten bezuglich der Funktionsstruktur ausgewertet werden mit 
folgenden Schritten: 

a) Verfolgung der Fehlerabhangigkeiten in der Funktionsstruktur 
und Generation von Fehlerpfaden sowie Ermittlung von globalen 
Auswirkungen der Fehler, 

b) Bewertung der globalen Auswirkungen in Abhangigkeit voirgebba- 
rer Sicherheitsstuf en, 

c) Ermittlung. von Fehlern, welche ein Fehlverhalten einer Kompo- 
nente oder einer Kommunikationsbeziehung bewirken, 

d) Zuordnung des Fehlverhaltens einer Komponente oder einer Kom- 
munikationsbeziehung zu den globalen Auswirkungen 

e) Ermittlung von MaSnahmen zur Fehlererkennung und/ oder Fehler- 
beherrschung , 

f) Ermittlung der erzielbaren Sicherheitsstuf e und Vergleich der 
ermittelten Sicherheitsstuf e mit der zu erzielenden Sicher\heits- 
stufe und 

g) in Abhangigkeit von dem Vergleich erneuter Verf ahrensst art 
bei a) , bis die zu erzielende Sicherheitsstuf e erzielt ist . 

11. Verfahren nach Anspruch 10, dadurch gekennzeichnet , dass zwi- 
schen den Schritten e) und f) eine Dokumenta'tion der Funktions- 
struktur erf olgt . 

12. Verfahren nach einem der vorhergehenden Anspruche, dadixrch 
gekennzeichnet, dass die Funktionsstruktur als CARTRONIC Struk- 
tur unter Verwendung der UML dargestellt wird. 

13 . Einrichtung, insbesondere Computersystem,- zur Durchfuhrring 
eines Verfahrens gemafi wenigstens einem der Anspruche 1 bis 12. 

14 . Computerprogramm, welches bei Ablauf in einer Einrichtixng 
nach Anspruch 13 ein Verfahren gemafi wenigstens einem der An- 
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spruche 1 bis 12 ausf uhrt . 

15 . Compute rprogrammprodukt, insbesondere ein Datentrager mit ei- 
nem -Computerprogramm nach Anspruch 14, welches bei Einbringung 
in* eine Einrichtung nach Anspruch 13 ein Verfahren nach wenig- 
stens einem der Anspruche 1 bis 12 ausf uhrt. 



# 
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Einrichtuna unci Verfahren zur Beurteiluna und Erzielung von 
Sicherheit bei Systemen sowie entsprechendes Com puterpro- 
gramm 

Zusammenf assung 

Verfahren und Einrichtung sowie Computerprogramm zur Durchfuh- 
rung einer Sicherheitsanalyse bei Systemen, insbesondere in ei- 
nem Kraf tf ahrzeug, wobei die Systeme oder das wenigstens eine 
System aus -mehreren Komponenten bestehen, zwischen denen Kommu- 
nikationsbeziebungen bestehen, wobei <£ie Komponenten und deren 
Kommunikationsbeziehungen eine Funktionsstruktur der Systeme 
oder des wenigstens eine Systems bilden, wobei Febler in Abhan- 
gigkelt von der Funktionsstruktur ermittelt werden und diese 
Fehlerabhangigkeiten bezuglich der Funktionsstruktur ausgewertet 
werden . 



(Figur 1) 
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Fig. 1 
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Fig. 2 
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Abb. 7 
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Fig. 8b 
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